syskeeper-2000网络安全隔离装置诊断调试手册(v1.0-1bit).doc

NARI
SysKeeper-2000
网络安全隔离装置诊断调试手册

1. 网络调试 3
3
3
4
、外网数据灯 4
4
6
6
6
6
6
7
7
7
8
8
通信网关机配置 8
NARI南京南瑞集团信息系统分公司 9
1. 网络调试

隔离装置如果与计算机或者路由器连接，采用交叉线进行网络连接；如果与交换机或者集线器连接，则采用直连线进行连接。在网络连接线正确连接后，观察隔离装置后面板的网络接口指示灯是否点亮，如果网络指示灯点亮，表明网络连接正常，否则可能隔离装置网络接口故障。

可以采用隔离装置配置软件的ping诊断工具测试或者直接在隔离装置两端的通信网关机上直接测试（推荐采用第二种调试方式）。
1) 首先确认隔离装置内外网均正确连接到网络中；
2) 在内网网关机（以内网诊断为例）上的命令行窗口中分别执行以下命令：
arp –d；（清空通信网关机上的arp地址表）；
ping 外网虚IP；
arp –a；（查看通信网关机更新后的的arp地址表）
如果能得到隔离装置的虚拟MAC地址(前四位为1234)，则说明内网网关机到隔离装置内网端的链路是正常的。（注：如果通信网关机与路由器直接连接，则会返回路由器的MAC地址，在此种连接方式下，建议采用专用的ping诊断工具进行调试，具体调试方法请参考安全隔离装置用户手册)。
3) 双进双出型隔离装置对ping报文的长度进行安全控制，在ping的时候增加长度参数（Windows计算机：ping 外网虚IP –l 996，UNIX计算机：ping 外网虚拟IP –s 996），如果链路可达则可以观察到返回的ping报文。
采用同样的测试方法，可以测试外网网关机到隔离装置外网端的链路是否正常。

、外网数据灯
在没有数据传输时，如果可以观察到隔离装置正面板内外网数据灯每隔1~2秒微弱的闪烁一下，则表明隔离装置工作状态正常；如果内外网数据灯都没有闪烁或者数据灯常亮且不能传输数据，则装置可能出现异常，请立刻与我们联系。

隔离装置可以通过配置计算机的超级终端软件对系统的工作状况进行调试和观察。配置计算机超级终端的设置如下所述：
a)运行Windows开始－>程序－>附件—>通讯－>超级终端
b)输入超级终端名称：SysKeeper,选择计算机相应的Com端口（Com1）
图1
c)配置超级终端属性：如下图所示。
图2
d)保存配置。
设置完成后，将配置计算机的串口和隔离装置的内网Console口连接－>打开前面设置的SysKeeper超级终端－>启动隔离装置电源－>观察隔离装置启动的输出信息。
如果不断重复输出启动信息，则表明装置在反复重启，请立刻与我们联系，如果启动信息为乱码，表明配置计算机或者隔离装置的串口通信有故障，请参考下一节的调试文档，并与我们及时联系，获得进一步的帮助。
提示：可以通过设置超级终端的“传送－>捕获文字”，把所有输出信息保存为文本文件，以作详细的调试分析。


1）专用配置线
应使用配套的专用串口线配置隔离装置。
2）查看串口配置线与计算机的哪一个串口连接
一般来说计算机自带的串口A为COM1，串口B为COM2。如果是使用串口卡或USB转串口线额外增加的串口，需要打开“设备管理器”，在端口选项下查看串口使用的COM端口，确认COM端口选择正确。
3）串口配置线与隔离装置的连接
正向隔离装置：配置计算机的串口和隔离装置的内网Console口连接；
反向隔离装置：配置计算机的串口和隔离装置的外网Console口连接。

-1bit配置软件；
-1bit配置软件；

当隔离装置正在传输大量数据时，隔离装置负荷较大，CPU使用率较高，串口通讯进程可能无法及时得到CPU响应，建议暂停数据传输后再进行配置。
3.